Squid3 + Sams2 (kerberos, ncsa)

[Ptaha]

Здравствуйте, уважаемые!

Есть squid3+sams2

(Нажмите, чтобы показать/скрыть)

root@ubnt:/# squid3 -v
Squid Cache: Version 3.1.20
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3.1.20

Настроил авторизацию пользователей домена win2k8 R2 через kerberos + ncsa (логин\пароль). Вроде всё отлично работало.
Решил прикрутить Sams2. Собрал из исходников, всё ок, работает.
Когда выставляю в настройках sams2 (через веб интерфейс) в качестве программы редиректа sams2redir сразу отваливается доступ в интернет. В логах ничего полезного не вижу, видимо где-то в конфиге накосячил, но не могу понять, где ошибся.
В логах:

1411034150.280      2 192.168.10.83 TCP_MISS/200 404 GET http://google.com/ - DIRECT/192.168.10.202 text/html
1411034150.445      1 192.168.10.83 TCP_MISS/200 404 GET http://google.com/ - DIRECT/192.168.10.202 text/html
1411034150.623      2 192.168.10.83 TCP_MISS/200 404 GET http://google.com/ - DIRECT/192.168.10.202 text/html

Конфиг squid.conf

(Нажмите, чтобы показать/скрыть)

# TAG: auth_param
auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -s HTTP/proxy.domain.local
auth_param negotiate children 5
auth_param negotiate keep_alive on
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/sams2.ncsa
auth_param basic children 5
auth_param basic realm Enter your login and password
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# TAG: http_port
http_port 192.168.10.202:3128

# TAG: forwarded_for on|off
forwarded_for off

## Headers
request_header_access From deny all
request_header_access Server deny all
request_header_access User-Agent deny all
request_header_access WWW-Authenticate deny all
request_header_access Link deny all
header_replace User-Agent Google Chrome

# TAG: acl
acl Sams2Template8 src 192.168.10.83
acl inet proxy_auth REQUIRED
acl ncsa_users proxy_auth REQUIRED
acl SSL_ports port 443
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 80
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

# TAG: http_access
# Setup Sams2 HTTP Access here
http_access allow Sams2Template8
http_access allow inet
http_access allow ncsa_users
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

# TAG: visible_hostname
visible_hostname proxy.domain.local

# TAG: delay_pools
delay_pools 0

# TAG: delay_class

# TAG: delay_access

# TAG: delay_parameters

# TAG: redirect_program

# TAG: url_rewrite_program
url_rewrite_program /usr/local/bin/sams2redir

# TAG: url_rewrite_children
url_rewrite_children 5

# TAG: ulr_rewrite_concurrency

# TAG: url_rewrite_access
acl Sams2Proxy dst 192.168.10.202
url_rewrite_access deny Sams2Proxy

# TAG: maximum_object_size_in_memory

# TAG: cache_dir

# TAG: dns_nameservers

# TAG: redirect_program

# TAG: redirect_children

Без sams2redir авторизация kerberos, ip, ncsa отлично работают.
Буду очень признателен за помощь.
Заранее спасибо.